Nová varianta mobilního malwaru HummingBad se jmenuje HummingWhale. Využívá nové techniky, takže reklamní podvody jsou sofistikovanější než kdy dříve. HummingBad byl nejvýraznějším mobilním malwarem roku 2016. Obětí se stalo více než 10 milionů uživatelů a škodlivý kód vydělával svým tvůrcům více než 300 000 dolarů měsíčně, takže bylo jen otázkou času, kdy se objeví nějaká nová verze a najde si cestu na Google Play. Společnost Check Point o nakažených aplikacích informovala bezpečnostní tým Google a aplikace byly následně z Google Play stažené.

Všechny nové podvodné aplikace byly publikovány pod falešnými jmény čínských vývojářů. Princip je jednoduchý. Nainstalovaný malware dostává od řídícího a velícího (C&C) serveru falešné reklamy a aplikace a nabízí je uživateli. Jakmile se uživatel pokusí zavřít reklamu, aplikace, která již byla malwarem stažena, je nahrána do virtuálního stroje a spouští se, jako by byla ve skutečném zařízení. Vytvoří se také falešná identita, kterou malware používá ke generování příjmů pro kyberzločince.

Tato metoda má několik „výhod“:

  1. Umožňuje malwaru instalovat aplikace bez nutnosti získat nejdříve potřebná vyšší oprávnění.
  2. Maskuje škodlivou činnost, což umožňuje proniknout do Google Play.
  3. Umožňuje malwaru spustit zabudovaný rootkit, takže může dosáhnout stejného efektu i bez něho.
  4. Může instalovat neomezený počet podvodných aplikací bez přetížení zařízení.

Nová hrozba je ukázkovým příkladem, jak se vývojáři od sebe navzájem učí a jak se vyvíjí a přejímají útočné techniky, protože podobně jako u škodlivých kódů Gooligan a CallJam i HummingWhale se snaží podvodně zvyšovat hodnocení na Google Play, aby aplikace působily věrohodně. Znovu je to tedy připomínka, že nelze spoléhat jen na ochranu na Google Play, ale je potřeba dále do svého bezpečí investovat a používat pokročilé zabezpečení.